Exploit:Win32/Shellcode.AB (Microsoft), Exploit.MSWord.CVE-2012-0158.db(Kaspersky), Exploit.CVE-2012-0158.Gen (F-Secure)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 reportedInfection:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.

Exécute ensuite les fichiers déposés. De ce fait, les routines malveillantes des fichiers déposés sont exposées sur le système affecté.

  Détails techniques

File size: 285,083 bytes
File type: DOC
Date de réception des premiers échantillons: 13 novembre 2014

Précisions sur l'apparition de l'infection

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.

Routine d'introduction

Introduit les fichiers suivants :

  • %User Temp%\DW20.exe - detected as BKDR_GHOST.PEL

(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)

Profite des failles de sécurité logicielles suivantes afin d''introduire des fichiers malveillants :

Exécute ensuite les fichiers déposés. De ce fait, les routines malveillantes des fichiers déposés sont exposées sur le système affecté.

  Solutions

Moteur de scan minimum: 9.700
First VSAPI Pattern File: 11.274.03
First VSAPI Pattern Release Date: 13 novembre 2014
VSAPI OPR Pattern Version: 11.275.00
VSAPI OPR Pattern Release Date: 14 novembre 2014

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 2

Suppression des fichiers de programmes malveillants introduits par TROJ_EXPLOYT.PEL

     
    • BKDR_GHOST.PEL

Step 3

Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant TROJ_EXPLOYT.PEL Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.

Step 4

Télécharger et appliquer ces patchs de sécurité Évitez d’utiliser ces produits tant que les patchs appropriés n’ont pas été installés. Trend Micro recommande aux utilisateurs de télécharger les patchs critiques dès leur publication par les distributeurs.

  • https://technet.microsoft.com/en-us/library/security/ms12-027.aspx


Participez à notre enquête!